在我們的很多個專案中都用到了訊息中介軟體,雖然現在有些已經改用了kafka,但是還有相當一部分依然用的是rabbitmq。
而最近呢,我們收到了乙份關於安全漏洞掃瞄的文件,說我們的rabbitmq存在著一些安全漏洞問題,既然是有問題,自然是需要整改的,但是看完文件以後,發現這種安全漏洞問題似乎並不是很好解決。
文件中指出的問題主要有這樣三個:
一、更改密碼沒有驗證舊密碼
說的具體點,就是在登入系統後,在更改密碼處,未驗證原來密碼,只需要兩次新的密碼一致便可以修改密碼成功。如圖所示:
二、使用者名稱列舉
具體來說就是,首頁使用者登入認證時,連續認證失敗後,伺服器沒有對帳號或ip位址實施鎖定等任何措施,也就是說可以無限制的嘗試和猜測使用者名稱和密碼,如圖:
三、登入無驗證碼
這個問題和上邊的問題在同乙個地方,因此便不再截圖,很顯然的可以看到登入的時候只需要使用者名稱和密碼就夠了,也就加大了安全隱患。
好處是這樣一來能解決這三個漏洞,當我根本不讓你訪問這個頁面的時候,完全沒有這個頁面的時候,這個頁面的漏洞是否還存在呢?
但是壞處也是顯而易見的,這個介面本身的目的就是為了方便,關了之後,很多的操作就只能使用shell命令,也就不是那麼簡便了。
那麼最後就說一說怎麼關閉的,實際上也很簡單。
我們知道linux中安裝rabbitmq要啟動這個rabbitmq management是使用的如下命令:
./rabbitmq-plugins enable rabbitmq_management./rabbitmq-plugins disable rabbitmq_management好了,就是這樣,不知其他朋友是否還有更好的解決辦法呢?
Web安全漏洞
web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...
Redis安全漏洞
redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...
關於WPS Office安全漏洞情況的通報
本文講的是關於wps office安全漏洞情況的通報,近日,國家資訊保安漏洞庫 cnnvd 收到關於wps office緩衝區錯誤漏洞的情況報送,並於第一時間與軟體廠商 北京金山辦公軟體公司 進行了溝通。經金山公司確認,該漏洞存在。根據cnnvd相關規定,已對此漏洞進行收錄,並分配編號cnnvd 2...